KR100561628B1 - Method for detecting abnormal traffic in network level using statistical analysis - Google Patents

Method for detecting abnormal traffic in network level using statistical analysis Download PDF

Info

Publication number
KR100561628B1
KR100561628B1 KR20030081833A KR20030081833A KR100561628B1 KR 100561628 B1 KR100561628 B1 KR 100561628B1 KR 20030081833 A KR20030081833 A KR 20030081833A KR 20030081833 A KR20030081833 A KR 20030081833A KR 100561628 B1 KR100561628 B1 KR 100561628B1
Authority
KR
Grant status
Grant
Patent type
Prior art keywords
traffic
data
network
characteristic
abnormal
Prior art date
Application number
KR20030081833A
Other languages
Korean (ko)
Other versions
KR20050048019A (en )
Inventor
김진오
나중찬
박치항
손승원
이수형
장범환
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Grant date

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야 1. the art that the invention defined in the claims
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임. The present invention will on a computer-readable recording medium recording a program for realizing the abnormal traffic detection method and the method at the network level by statistical analysis.
2. 발명이 해결하려고 하는 기술적 과제 2. The invention attempts to solve the technical challenges
본 발명은, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있음. The present invention, after the extraction of the characteristic traffic data to be used to detect abnormal traffic by integrating the traffic data collected from each network device on the network to the total traffic of data on the network level, compared to the statistical model, the characteristic traffic data profile of the steady state short in a computer-readable recording a program for realizing the abnormal traffic detection method, and the method at the network level with, statistical analysis for detecting abnormal traffic is provided a recording meche within that purpose.
3. 발명의 해결방법의 요지 3. Resolution of the subject matter of the invention,
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; The present invention, in the abnormal traffic detection method at the network level by a statistical analysis, a first step of collecting traffic data from each of the network devices in the network at a predetermined time interval to integrate the entire data traffic in the network level; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; A second step of extracting characteristic data traffic from the current traffic data of the network level; 상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; A third step of determining whether the abnormal traffic by comparing the extracted characteristic traffic data and the statistical model, the attribute data traffic profile of a normal state; 및 상기 판 단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함한다. And information on the board unity and, at least updating the characteristic traffic data profile or the traffic using the extracted traffic characteristic data (update), and if the abnormal traffic and analyzing the severity of the current generated traffic, the analysis result and the abnormal traffic and a fourth step of monitoring the.
4. 발명의 중요한 용도 4. An important use of the invention,
본 발명은 네트워크 보안 시스템 등에 이용됨. The invention yiyongdoem on network security system.
이상 트래픽 감지, 특성 트래픽 데이터, 특성 트래픽 데이터 프로파일, 네트워크 수준, 통계적 분석 Abnormal traffic detection, data traffic characteristic, characteristic traffic profile data, the network level, the statistical analysis

Description

통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법{Method for detecting abnormal traffic in network level using statistical analysis} Statistical analysis detected abnormal traffic at the network level using the method {Method for detecting abnormal traffic in network level using statistical analysis}

도 1 은 종래의 네트워크상에서 이상 트래픽 감지 방법에 대한 일실시예 설명도, Figure 1 is one embodiment of a description of the abnormal traffic detection method on a conventional network,

도 2 는 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 설명도, Figure 2 is one embodiment of a description of the abnormal traffic detection method at the network level using the statistical analysis according to the invention,

도 3 은 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 흐름도이다. Figure 3 is a flow diagram for one embodiment of the abnormal traffic detection method at the network level using the statistical analysis according to the present invention.

* 도면의 주요 부분에 대한 부호의 설명 * Description of the Related Art

210 : 네트워크 장비 211 : 네트워크 보안 시스템(NSS) 210: 211 Network equipment Network Security System (NSS)

212 : 로컬 도메인 212: Local Domain

본 발명은 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 더욱 상세하게는 네트워크의 성능을 저하시키는 사이버 공격 또는 네트워크 구성 및 운용상의 결함 등으로 인하여 발생하는 이상 트래픽을 단시간내에 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다. The invention cyber attacks or network that relates to a computer-readable recording medium recording a program for realizing the abnormal traffic detection method and the method at the network level by a statistical analysis, and more particularly, to degrade the performance of the network, on the composition and a recording medium which can be read in at least a computer storing a program for realizing the traffic detection method and the method of the above to detect a short period of time the traffic that may result from defects such as operational, the network level using statistical analysis will be.

일반적으로, 네트워크상에서 발생한 이상 트래픽을 감지하는 방법은 현재 수집한 트래픽량과 통계적으로 생성된 정상 상태를 나타내는 트래픽량의 비교값 또는 비교 그래프 등을 모니터링하여 관리자가 상기 모니터링된 비교값과 비교 그래프를 경험적으로 분석함으로써, 현재 네트워크상에 발생한 트래픽이 이상 트래픽인지의 여부를 판단하게 된다. In general, the method for detecting an abnormal traffic has occurred in the network is a monitor, such as the comparison value or a comparison graph of the amount of traffic representing the resulting steady state current collected by the traffic volume and statistically by an administrator and compare the monitored comparison value graph by analyzing experimentally, is the traffic on the existing network determines whether or not the abnormal traffic.

여기서, 이상 트래픽이란 네트워크의 성능을 저하시킬 수 있는 데이터들이 비정상적으로 증가하여 네트워크의 흐름을 방해하는 상태를 의미하며, 그 원인으로는 사이버 공격에 의한 직간접적인 영향 또는 네크워크 구성 및 운용상의 결함 또는 클라이언트들의 과다 접속 등으로 발생한다. Here, the data that can degrade the abnormal traffic is network performance that means a state in which the inflated interrupt the flow of the network, and its causes are directly or indirectly affected or network configuration, and fault, or client operational by cyber attack It generates the like of excessive connection.

도 1 은 종래의 네트워크상에서 이상 트래픽 감지 방법에 대한 일실시예 설명도이다. 1 is a diagram of one embodiment a description of the abnormal traffic detection method on a conventional network.

도 1 에 도시된 바와 같이, 하나의 네트워크(ISP 1: Internet Service Provider 1)는 다수의 로컬 도메인(112), 타 네트워크(ISP 2), 상기 네트워크(ISP 1)와 로컬 도메인 또는 상기 네트워크(ISP 1)와 타 네트워크(ISP 2)를 연결하는 다수의 네트워크 장비(일예로 라우터)(110) 및 상기 네트워크(ISP 1)를 관리하기 위한 네트워크 관리 서버(NMS: Network Management Server)(111)를 포함한다. As shown in Figure 1, a network (ISP 1: Internet Service Provider 1) includes a plurality of local domain 112, the other network (ISP 2), the network (ISP 1) and the local domain or the network (ISP comprises a network management server) (111): 1) and the other network (ISP 2) a plurality of network devices (routers as an example) 110 and the network (ISP 1 network management server (NMS for managing a) connecting the do.

여기서, 도 1 을 참조하여 종래의 네트워크상에서 이상 트래픽 감지 방법에 대해 살펴보면, 먼저 상기 네트워크 장비(110)에는 관리 에이전트가 설치되어 있어 노드 또는 특정 도메인 또는 링크상에서 처리되는 트래픽 데이터(정보)를 수집하는 기능을 한다. Referring to Figure 1 Referring to the abnormal traffic detection method on a conventional network, first, the network device 110 is installed, the management agent's collecting the node or the traffic data (information) to be processed on a specific domain, or link functions.

이후, 네트워크 관리 서버(111)는 네트워크상의 각 네트워크 장비(110)로부터 트래픽 데이터를 수집하여, 관리 콘솔을 통하여 해당 트래픽 정보를 관리자에게 보고하게 된다. Then, network management server 111 is to report the traffic information collected by the traffic data from each of the network devices 110 in the network, through the management console to the administrator.

이후, 과다 트래픽 발생 여부는 관리자가 네트워크 관리 서버가 보고하는 트래픽 데이터를 바탕으로 하여 과거 경험에 의해 직관적으로 판단하게 된다. Then, whether generated excessive traffic is intuitively determined by the past experience based on the traffic data to the administrator, the network management server to see.

이러한 종래의 네트워크상에서 이상 트래픽 감지 방법은, 수집하는 트래픽량이 대부분 특정 로컬 도메인(특정 링크 또는 특정 노드)에서 발생하는 단순 트래픽량만을 대상으로 하는 경우가 대부분이고, 관리자가 현재 발생한 트래픽이 해당 네트워크의 성능을 저하시킬 수 있는 트래픽(이상 트래픽)인지, 아닌지의 여부를 판단하기 때문에 단시간내에 정확한 판단을 할 수 없다는 문제점이 있다. Many abnormal traffic detection method on a conventional network, this is a most amount of collecting traffic if only simple traffic volume occurring in the particular local domain (specific links or specific node) to the destination that is, the administrator are generated traffic on the network because it determines whether or not that can degrade the performance of traffic (more than traffic), there is a problem can not be an accurate judge within a short time.

본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하는, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있다. The present invention is a statistical model, extract the characteristics of traffic data to be used to be suggested to solve the above problem, the detected abnormal traffic by the traffic data collected from each network device on the network integrated into the total traffic data of the network-level steady state the characteristic traffic data as compared with the profile to provide a recording meche a computer readable recording a program for realizing the abnormal traffic detection method, and the method at the network level by a statistical analysis to detect the abnormal traffic within a short period of time that purpose there is.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. It may be understood by the following description of Other objects and advantages of the present invention will be appreciated more clearly by the embodiment of the present invention. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다. Also, the objects and advantages of the invention will be readily appreciated that this can be realized by the means as claimed and combinations thereof.

상기 목적을 달성하기 위한 본 발명의 방법은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; The method of the present invention for achieving the above object, in the abnormal traffic detection method in a network level using the statistical analysis, to collect traffic data from each of the network devices in the network at a predetermined time interval to the total traffic of data on the network level, a first step of integrating; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; A second step of extracting characteristic data traffic from the current traffic data of the network level; 상기 추출한 트래픽 특성 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; A third step of determining whether the traffic or more as compared to the extracted data traffic characteristic and a statistical model, the attribute data traffic profile of a normal state; 및 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함하는 것을 특징으로 한다. And the information on the determination result, at least updating the characteristic traffic data profile or the traffic using the traffic characteristic data extraction step (update), and the abnormal traffic is to analyze the severity of the current generated traffic over the result of the analysis of traffic characterized by a fourth step of monitoring.

한편, 본 발명은, 프로세서를 구비한 이상 트래픽 감지 시스템에, 소정의 시 간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 기능; The present invention is, in one or more traffic detection system having a processor, a first function that collects traffic data from each of the network devices in the network at a predetermined interval of time integration of the entire data traffic in the network level; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 기능; A second function of extracting a characteristic of traffic data from the entire data traffic in the network level; 상기 추출한 트래픽 특성 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 기능; The third function of determining whether the traffic or more as compared to the extracted data traffic characteristic and a statistical model, the attribute data traffic profile of a normal state; 및 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다. And the information on the determination result, at least updating the characteristic traffic data profile or the traffic using the traffic characteristic data extraction step (update), and the abnormal traffic is to analyze the severity of the current generated traffic over the result of the analysis of traffic It provides a computer readable recording medium having a program for realizing the fourth function of the monitoring computer.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. The aforementioned objects, features and advantages will become apparent from the following description in conjunction with the accompanying drawings, a self-technical features of the present invention one of ordinary skill in the art thus can be easily There will be. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. Further, the detailed description of the known art related to the invention In the following description of the present invention will be omitted and a detailed description on the case that are determined to unnecessarily obscure the subject matter of the present invention. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다. It will be described in the following, preferred embodiments of the present invention with reference to the accompanying drawings in detail.

도 2 는 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 설명도이다. 2 is a diagram of one embodiment a description of the abnormal traffic detection method at the network level using the statistical analysis according to the present invention.

도 2 에 도시된 바와 같이, 이상 트래픽 감지 모듈을 장착한 네트워크 보안 시스템(NSS: Network Security System)(211)은 네트워크 장비(일예로 라우터)(210)를 통해 다수의 로컬 도메인(212) 또는 타 네크워크(ISP 2)와 연결되어 있다. A, a network security system with the abnormal traffic detection module as shown in Fig 2 (NSS: Network Security System) (211) includes a plurality of the local domain (212) or the other through the network device (router as an example) 210 It is connected to the network (ISP 2). 이 때, 상기 네트워크 장비(210)는 네트워크상의 로컬 도메인(링크) 또는 타 네트워크(ISP2)로부터 트래픽 데이터(정보)를 수집하는 기능을 수행한다. At this time, the network device 210 performs a function of collecting traffic data (information) from the local domain (links) or other network (ISP2) on the network.

여기서, 도 2 를 참조하여 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대해 살펴보면, 본 발명은 네트워크 보안 시스템(211) 등에 적용되어 네트워크상의 각 네트워크 장비(210)로부터 주기적으로 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하고 상기 통합된 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출한 후, 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽을 감지한다. Here, Fig. Referring to the abnormal traffic detection at the network level method using the statistical analysis according to the present invention with reference to Figure 2, the present invention is applied to a network security system 211 periodically from each of the network devices 210 in the network collect traffic data integrated by the total traffic data of the network level, and compares the extracted characteristics of traffic data from the current traffic data of an integrated network level, and then, a statistical model that is characteristic of the steady state traffic data profile to detect the abnormal traffic.

이 때, 상기 네트워크 수준의 전체 트래픽 데이터에서 특성 트래픽 데이터를 추출하는 기준은, 일예로 응용 서비스의 종류에 따라 각기 다르게 할당되는 응용포트에 따라 추출하거나, 동일한 크기를 가진 패킷분포에 따라 추출하거나, 특정 목적지(destination)로 가는 트래픽의 원천지(source) 주소가 급격히 증가하는 패턴을 바탕으로 한 원천지-목적지 페어(source-destination pair)수 등에 따라 추출할 수 있다. At this time, the reference for extracting the characteristic traffic data, the total traffic data of the network level, the extraction according to the application port are differently assigned according to the type of application services as an example, or extracted in accordance with the packet distribution of the same magnitude, or the circle earth (source) address for traffic going to a specific destination (destination) based on the circle pattern to increase rapidly earth - can be extracted according to the destination pair (source-destination pair) can.

또한, 트래픽 데이터 수집은 기존의 네트워크 관리 시스템에서와 같이 일반적으로 네트워크 노드상에 설치되는, 네트워크 관리 에이전트를 장착한 네트워크 장비(일예로 라우터)의 트래픽 수집 기능을 이용하여 기존 네트워크상에서 이용되는 네트워크 장비의 교체없이 트래픽 데이터를 수집한다. Further, the traffic data collection network equipment that is used on the existing network using the features collected traffic of the existing network management which, as in the system typically equipped with a network management agent, which is installed on the network node, the network device (router as an example) and the collection of traffic data without being replaced.

또한, 네트워크 보안 시스템은 타 네트워크 보안 기능을 수행할 수 있으며, 이상 트래픽 감지 측면에서 수행할 기능은 통계 분석 모듈을 탑재함으로써, 일정 주기로 트래픽 데이터를 수집하고 정상 상태의 통계적 트래픽 특성과 비교 분석하여 이상 트래픽을 감지하는 기능을 수행한다. In addition, the network security system, the other, and the network can perform security functions, functions to be performed on abnormal traffic detection side by mounting a statistical analysis module, collecting traffic data at regular intervals and compared to at least the statistical traffic characteristic in a normal state It serves to detect the traffic. 이 때, 현재 수집된 트래픽이 이상 트래픽으로 판단되면 현재 발생한 트래픽이 얼마나 심각한지를 분석하고, 그 결과를 데이터로 생성한다. At this time, when the current collecting traffic judge over traffic and analyze how serious the current encountered traffic, generates the result as data.

이후, 상기 데이터는 추후 네트워크 보안 시스템의 타 보안 기능과 결합하여 관리자에게 보고용으로 사용될 수도 있고, 네트워크 보안 시스템의 보안 대응 기능과 결합하여 네트워크상에서 자동적인 대응이 이루어지도록 할 수도 있다. Thereafter, the data may be such that the automatic response carried over the network in conjunction with a security function of the corresponding future network security to the other in combination with the security features of the system may be used for reporting to the administrator, the network security system.

도 3 은 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 흐름도이다. Figure 3 is a flow diagram for one embodiment of the abnormal traffic detection method at the network level using the statistical analysis according to the present invention.

먼저, 사용자로부터 이상 트래픽이 발생했을 경우의 심각도 유의 수준, 트래픽 분석 주기, 분석 결과의 처리 방식 등의 실행 환경을 설정받는다. First, a given set severity level of significance, traffic analysis cycle, such as the processing of the results of the execution environment when the abnormal traffic generated by the user. 물론, 데이터 베이스에는 최근까지 통계적으로 생성한 특성 트래픽 데이터 프로파일이 저장되어 있다. Of course, the database there is stored statistical traffic data, the characteristic profile generated to date.

이후, 소정의 시간 간격으로 각 네트워크의 장비(210)로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합한다(301, 302). Then, at a predetermined time interval to collect traffic data from a device 210 in each network integrated into the total traffic of data on the network level (301, 302).

이후, 상기 네트워크 수준의 전체 트래픽 데이터로부터 상기 언급한 소정의 추출 기준에 따라 특성 트래픽 데이터를 추출한다(303). Thereafter, it extracts the characteristics of traffic data in accordance with the above-mentioned predetermined reference extracted from the total traffic data of the network level 303.

이후, 상기 추출한 트래픽 특성 데이터를 정상 상태의 트래픽을 모델링하여 파라미터화한 특성 트래픽 데이터 프로파일과 비교하여 현재 트래픽이 이상 트래픽인지 정상 트래픽인지를 판단한다(304, 305). Then, it is determined whether the normal traffic, if the current traffic over traffic to the traffic characteristics of the extracted data model the traffic of the steady state compared with a parameterized traffic characteristic data profile (304, 305).

상기 판단결과(305), 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터을 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고 일정시간 대 기한 후 상기 "301" 과정으로 진행하여 이후의 과정을 수행한다(306). A result of the determination unit 305, updates the characteristic traffic data profile be at least traffic using traffic characteristics extracted the deyiteoeul (update), and a certain amount of time for date and then performs the process following the process proceeds to the "301" procedure (306 ). 이러한 과정은 다양한 정상 상태 트래픽을 통계적으로 데이터베이스화하는 과정으로 보다 정확한 이상 트래픽 감지를 위해 꼭 필요한 과정이라 할 수 있다. This process can be called essential process for more accurate detection of traffic over the course of a statistical database Tues various steady state traffic.

상기 판단결과(305), 이상 트래픽이면 상기 기 설정된 심각도 유의 수준에 따라 현재 발생한 트래픽의 심각도를 분석하고(307), 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링한다(308). The determination result 305, the traffic is not less than the analysis period the severity of the current traffic generated in accordance with the severity level of significance is set to 307, the monitor information about the result of the analysis and at least traffic 308. 이 때, 상기 분석결과와 이상 트래픽에 대한 정보를 이상 트래픽 처리 시스템 등으로 전달하여 효율적인 이상 트래픽 처리에 이용되도록 할 수도 있다. At this time, by passing the information for the analysis result and the abnormal traffic over traffic processing system and the like may be used such that the effective than traffic handling.

이처럼 본 발명은 주기적으로 네트워크상에 발생하는 트래픽을 검사하여 이상 트래픽을 감지한다. Thus, the present invention examines the traffic that periodically occur on the network to detect the abnormal traffic.

또한, 본 발명은, 네트워크 장비(210)로부터 직접 특성 트래픽 데이터를 수집하여 이상 트래픽을 감지할 수도 있다. In addition, the present invention, it is also possible to detect the abnormal traffic by directly collecting the characteristic traffic data from the network equipment (210). 하지만, 이러한 방법은 네트워크 장비(210)의 부하를 가중시키는 역효과가 있을 수 있다. However, this method may be an adverse effect to add to the load on the network equipment 210. The

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. The method of the present invention as described above may be stored in a form that is implemented as a program in a computer-readable recording medium (a CD-ROM, RAM, ROM, floppy disk, hard disk, optical magnetic disk, etc.). 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다. Since the process can be easily implemented by those of ordinary skill in the art and will not be further described in detail.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다. The present invention described in the above, the present invention are here to those of ordinary skill in the art can be various changes and modifications may be made without departing from the scope of the present invention, since the above-described embodiments and the accompanying It not limited by the drawings.

상기와 같은 본 발명은, 네트워크상에서 발생하는 트래픽 전체에 대해 특성 트래픽 데이터를 추출하여 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교함으로써, 효율적 빠른 시간내에 이상 트래픽을 감지할 수 있도록 하는 효과가 있다. The present invention as described above, by extracting the characteristic traffic data for the total traffic generated in the network compared to the statistical model, the characteristic traffic data profile of a normal state, there is an effect that allows to detect the abnormal traffic in the effective short time .

또한, 본 발명은, 다양한 정상 상태 트래픽을 통계적으로 데이터베이스화하는 과정을 통해 관리자의 개입없이 자동으로 보다 다양한 형태의 이상 트래픽을 감지할 수 있도록 하는 효과가 있다. In addition, the present invention is through the process of statistically databasing a wide range of steady state traffic there is an effect that allows to detect automatically a more variety of abnormal traffic without administrator intervention.

또한, 본 발명은, 이상 트래픽 처리 시스템에 적용되어 네트워크의 기능이 마비되기 전에 이상 트래픽을 처리할 수 있도록 하는 효과가 있다. The present invention also is applicable to more than traffic handling system has the effect of to handle traffic over before the function of the network failure.

Claims (4)

  1. 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, In the detection of abnormal traffic at the network level using a statistical analysis method,
    소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; A first step to collect traffic data from each of the network devices in the network at a predetermined time interval to integrate the entire data traffic in the network level;
    상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; A second step of extracting characteristic data traffic from the current traffic data of the network level;
    상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; A third step of determining whether the abnormal traffic by comparing the extracted characteristic traffic data and the statistical model, the attribute data traffic profile of a normal state; And
    상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계 The determination result, updates the characteristic traffic data profile with the extracted traffic characteristic data or the abnormal traffic (update), and if the abnormal traffic and analyzing the severity of the current generated traffic monitoring information on the analysis result and the abnormal traffic a fourth step of
    를 포함하는 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법. How to detect abnormal traffic at the network level using a statistical analysis that includes.
  2. 제 1 항에 있어서, According to claim 1,
    상기 특성 트래픽 데이터는, The characteristic traffic data,
    서비스의 종류에 따라 각기 다르게 할당되는 응용포트에 따라 추출한 특성 트래픽 데이터 또는 동일한 크기를 가진 패킷분포에 따라 추출한 특성 트래픽 데이터 또는 특정 목적지(destination)로 가는 트래픽의 원천지(source) 주소가 급격히 증가하는 패턴을 바탕으로 한 원천지-목적지 페어(source-destination pair)수에 따라 추출한 특성 트래픽 데이터인 것을 특징으로 하는 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법. To the original earth (source) address of the characteristic extracted in accordance with the application port are differently assigned according to the type of traffic data or characteristics derived in accordance with the packet distribution of the same magnitude traffic data or traffic going to a specific destination (destination) service increases rapidly the circle on the earth pattern - the statistical analysis method of detecting abnormal traffic at the network level with a characteristic, characterized in that traffic data can be extracted in accordance with the destination pair (source-destination pair).
  3. 제 1 항 또는 제 2 항에 있어서, According to claim 1 or 2,
    상기 심각도 분석결과와 이상 트래픽에 대한 정보를 이상 트래픽 처리 시스템으로 전달하여 효율적인 이상 트래픽 처리에 이용되도록 하는 제 5 단계 A fifth step of that used in the analysis result and the severity effective than treatment by passing traffic to the least traffic information processing system for abnormal traffic
    를 더 포함하는 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법. The statistical analysis detected abnormal traffic at the network level using further included.
  4. 프로세서를 구비한 이상 트래픽 감지 시스템에, In the abnormal traffic detection system equipped with a processor,
    소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 기능; First function to collect traffic data from each of the network devices in the network at a predetermined time interval to integrate the entire data traffic in the network level;
    상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 기능; A second function of extracting a characteristic of traffic data from the entire data traffic in the network level;
    상기 추출한 트래픽 특성 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 기능; The third function of determining whether the traffic or more as compared to the extracted data traffic characteristic and a statistical model, the attribute data traffic profile of a normal state; And
    상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 기능 The determination result, updates the characteristic traffic data profile with the extracted traffic characteristic data or the abnormal traffic (update), and if the abnormal traffic and analyzing the severity of the current generated traffic monitoring information on the analysis result and the abnormal traffic the fourth function of
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체. A computer-readable recording medium recording a program for realizing.
KR20030081833A 2003-11-18 2003-11-18 Method for detecting abnormal traffic in network level using statistical analysis KR100561628B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20030081833A KR100561628B1 (en) 2003-11-18 2003-11-18 Method for detecting abnormal traffic in network level using statistical analysis

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20030081833A KR100561628B1 (en) 2003-11-18 2003-11-18 Method for detecting abnormal traffic in network level using statistical analysis
US10749502 US20050108377A1 (en) 2003-11-18 2003-12-31 Method for detecting abnormal traffic at network level using statistical analysis

Publications (2)

Publication Number Publication Date
KR20050048019A true KR20050048019A (en) 2005-05-24
KR100561628B1 true KR100561628B1 (en) 2006-03-20

Family

ID=34567806

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20030081833A KR100561628B1 (en) 2003-11-18 2003-11-18 Method for detecting abnormal traffic in network level using statistical analysis

Country Status (2)

Country Link
US (1) US20050108377A1 (en)
KR (1) KR100561628B1 (en)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4479459B2 (en) * 2004-10-19 2010-06-09 横河電機株式会社 Packet analysis system
KR100639969B1 (en) * 2004-12-02 2006-11-01 한국전자통신연구원 Apparatus for abnormal traffic control and method thereof
KR100628328B1 (en) * 2005-03-10 2006-09-27 한국전자통신연구원 Apparatus and method of adaptive prevention on attack
US7730531B2 (en) * 2005-04-15 2010-06-01 Microsoft Corporation System and method for detection of artificially generated system load
US7908357B2 (en) * 2005-09-21 2011-03-15 Battelle Memorial Institute Methods and systems for detecting abnormal digital traffic
KR100726352B1 (en) * 2006-03-28 2007-06-01 중앙대학교 산학협력단 Analyzeing system of network traffic according to variable communication's mass and analyzeing method thereof
KR100798755B1 (en) * 2006-05-17 2008-01-29 주식회사 제이컴정보 Threats management system and method thereof
KR100793633B1 (en) * 2006-08-16 2008-01-10 전자부품연구원 Device and method of providing traffic conditioning
US20080080365A1 (en) * 2006-09-28 2008-04-03 Weeresinghe Ranjith Thomas Mah Wireless Access Point Failover System and Method
FR2932043B1 (en) * 2008-06-03 2010-07-30 Groupe Ecoles Telecomm Process for tracabilite and pseudonymous flow resurgence over communication networks, and method of informational flow emission is capable secures traffic data recipients
CN102204168B (en) * 2011-04-26 2013-12-04 华为技术有限公司 Method and apparatus for network traffic simulation
CN103164318B (en) * 2011-12-13 2016-07-20 中国银联股份有限公司 Automated health check method and apparatus for on-line systems
US9369364B2 (en) * 2013-03-13 2016-06-14 Telekom Malaysia Berhad System for analysing network traffic and a method thereof
KR101383069B1 (en) * 2013-05-27 2014-04-08 한국전자통신연구원 Apparatus and method for detecting anomalous state of network
US20160285978A1 (en) * 2015-03-29 2016-09-29 Verint Systems Ltd. System and method for identifying communication session participants based on traffic patterns
EP3131252A1 (en) * 2015-08-12 2017-02-15 NATEK Technologies GmbH Method and system for network intrusion detection

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2337903B (en) * 1998-05-28 2000-06-07 3Com Corp Methods and apparatus for collecting storing processing and using network traffic data
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US7120934B2 (en) * 2000-03-30 2006-10-10 Ishikawa Mark M System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network
US6738811B1 (en) * 2000-03-31 2004-05-18 Supermicro Computer, Inc. Method and architecture for monitoring the health of servers across data networks
JP2002281086A (en) * 2001-03-19 2002-09-27 Kddi Corp Traffic monitoring method and its system
US7308715B2 (en) * 2001-06-13 2007-12-11 Mcafee, Inc. Protocol-parsing state machine and method of using same
US7062553B2 (en) * 2001-12-04 2006-06-13 Trend Micro, Inc. Virus epidemic damage control system and method for network environment
WO2003055148A1 (en) * 2001-12-21 2003-07-03 Esphion Limited Method, apparatus and software for network traffic management
US20040205419A1 (en) * 2003-04-10 2004-10-14 Trend Micro Incorporated Multilevel virus outbreak alert based on collaborative behavior
US20040225877A1 (en) * 2003-05-09 2004-11-11 Zezhen Huang Method and system for protecting computer system from malicious software operation

Also Published As

Publication number Publication date Type
US20050108377A1 (en) 2005-05-19 application
KR20050048019A (en) 2005-05-24 application

Similar Documents

Publication Publication Date Title
Lakhina et al. Characterization of network-wide anomalies in traffic flows
US7493659B1 (en) Network intrusion detection and analysis system and method
US7761918B2 (en) System and method for scanning a network
US7143442B2 (en) System and method of detecting events
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
Wu et al. Finding a needle in a haystack: Pinpointing significant BGP routing changes in an IP network
US20070064617A1 (en) Traffic anomaly analysis for the detection of aberrant network code
Chen et al. Automating Network Application Dependency Discovery: Experiences, Limitations, and New Solutions.
US20080222287A1 (en) Constructing an Inference Graph for a Network
US7131037B1 (en) Method and system to correlate a specific alarm to one or more events to identify a possible cause of the alarm
US20060026467A1 (en) Method and apparatus for automatically discovering of application errors as a predictive metric for the functional health of enterprise applications
US20110276836A1 (en) Performance analysis of applications
US20050182950A1 (en) Network security system and method
US20070283436A1 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
US20110122773A1 (en) Method, system, and computer program product, for correlating special service impacting events
US6747957B1 (en) Network availability monitor
US20120124666A1 (en) Method for detecting and preventing a ddos attack using cloud computing, and server
US7889666B1 (en) Scalable and robust troubleshooting framework for VPN backbones
US20060095569A1 (en) Monitoring a system using weighting
US7084760B2 (en) System, method, and program product for managing an intrusion detection system
US20060259968A1 (en) Log analysis system, method and apparatus
US20060161816A1 (en) System and method for managing events
US20070153689A1 (en) Method and apparatus for monitoring malicious traffic in communication networks
US8578493B1 (en) Botnet beacon detection
US20080301081A1 (en) Method and apparatus for generating configuration rules for computing entities within a computing environment using association rule mining

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100226

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee